Összefoglaló
A Drupal magas kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó tetszőleges kódot futtathat a célrendszeren. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A Drupal-ban az alábbi három hibát javították:
Bizonyos szövegszerkesztő programok nem megfelelően ellenőrzik egy hozzáadni kívánt fájl jogosultságait, mely hozzáférési szabályok megkerüléshez vezethet.
Bizonyos adminisztrációs könyvtárak nem megfelelően vannak védve CSRF ellen, ezáltal lehetővé téve egy támadó számára, hogy blokkokat titson le az oldalon.
Egy harmadik féltől származó fejlesztői környezet, mely a Drupal 8-cal érkezik, távoli kódfuttatásra lehetőséget adó hibát tartalmaz. A hibát mérsékli, hogy az alapértelmezett .htaccess konfiguráció védelmet nyújt a PHP kódfuttatás ellen.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 8.2.7-es verzióra.
Támadás típusa
Cross-Site Request Forgery (CSRF)Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
CVE-2017-6377 - NVD CVE-2017-6377
CVE-2017-6379 - NVD CVE-2017-6379
CVE-2017-6381 - NVD CVE-2017-6381